Welkom op het

KPN Forum

Recent online
Beantwoord

Support op port forwarding


Zojuist met de support desk contact gehad over port forwarding. En te horen gekregen dat KPN hier geen ondersteuning op geeft. Belachelijk.

Het is eigenlijk heel simpel.
Ik wil een webinterface benaderen op 8084 tbv Domoticz.
Dus in de experiabox ingesteld dat port 8084 naar 192.168.2.1 moet worden ge-forward. Dat is het ip adres en het poortje waar Domoticz op draait.
Als je vanaf het interne netwerk naar het externe adres verbind op poort 8084 dan werkt het. Dat betekent dat de Experia box goed is ingesteld voor port forwarding.
Maar wanneer ik vanaf extern, dus bijvoorbeeld vanaf mijn werk of vanaf de buren naar het externe adres op 8084 verbind gaat het niet werken. Het is dus duidelijk dat het geblokkeerd wordt door KPN buiten de experia box.

Dit terwijl het bij een kennis van mij die ook bij KPN zit gewoon werkt.

De enige optie om dit werkend te krijgen zou dan een overstap naar een andere provider zijn. Dat is natuurlijk een beetje jammer...
icon

Beste antwoord door PieterIlmer 15 mei 2018, 21:21

Ik dacht het probleem simpeler weer te geven op dit forum door niet alle gegevens over mijn netwerk-layout mee te geven.
Omdat ik het nu opgelost heb, zal ik dat alsnog doen. Wie weet heeft iemand er iets aan.

Achter mijn Experia box heb ik een Netgear R7000 met DD-WRT firmware draaien, omdat die meer mogelijkheden biedt en veel betere Wifi prestaties levert.
Om de Netgear toch uit te sluiten als oorzaak heb ik de Synology toch eens even direct op de Experia aangesloten en het ip adres 192.168.2.1 gegeven. En toen werkte het!

Ik was in de veronderstelling dat ik alles juist ingesteld had door Port Forwarding op de Experia in te stellen en dan vervolgens hetzelfde te doen op de Netgear. Denkfout! Stomvan mij 🙂

De instelling op de Experia was juist. De instelling op de Netgear was fout. In plaats van "Port Forwarding" moet je binnen DD-WRT "Port Range Forwarding" instellen. Dit omdat er natuurlijk helemaal niet een tweede keer ge-NAT hoeft te worden. Je zet zo alleen een poortje open in de fw van de Netgear. Meer is ook niet nodig.

Dus vervolgens de Synology weer terug achter de Netgear. En toen werkte het!

Om alles via de Netgear te kunnen regelen heb ik nu de Netgear als DMZ ingesteld op de Experia box. Alles wordt dus doorgestuurd naar de Netgear. En in de firewall van de Netgear regel je dus wat door mag en wat niet door mag.

Als bijlage en ter verduidelijking plaatjes van de beide routerinstellingen toegevoegd.

Bekijk origineel

11 Reacties

Reputatie 7
Badge +29
Nou nou nou allemaal aannames lees ik.

Volgensmij is dit een firewall op Domoticz die iets blokkeerd. Als je namelijk intern de forwarding volgt wordt je source ip niet getranslate, en dus ziet Domoticz dat dit intern verkeer is.
Reputatie 3
Kun je telnetten naar de port?
Je zegt dat lokaal alles werkt. Vanaf lokaal via extern ook. Maar vanaf volledig extern niet.
Ik ben het niet eens met Robin dat als je intern de forwarding volgt deze niet wordt vertaald (als ik mijn openvpn port uit de forwarding haal, kan ik lokaal geen verbinding meer maken via mijn externe adres. Er wordt dus wel degelijk een forwarding gevolgt.) Het lijkt mij eveneens sterk dat de firewall deze port blokkeerd. Het idee van port forwarding is dit deels te omzeilen.

Heb je mogelijkheid om volledig extern te verbinden, zonder de eventuele restricties van een bedrijfsfirewall, zoals de personal hotspot van je telefoon? Open internet dus. Zo ja, doen. Nu ben geheel buiten je eigen lokale netwerk.

Test:
telnet remoteip 8084

Krijg je antwoord in de trant van het onderstaande, dan werkt alles goed (voorbeeld):
# telnet 8.8.8.8 8084
trying 8.8.8.8.......
connected to
Escape Character is '^]'

Blijft ie hangen op Trying,,,,, Dan wordt je ergens geblokkeerd.
Reputatie 7
Badge +29
martva schreef:

Ik ben het niet eens met Robin dat als je intern de forwarding volgt deze niet wordt vertaald (als ik mijn openvpn port uit de forwarding haal, kan ik lokaal geen verbinding meer maken via mijn externe adres. Er wordt dus wel degelijk een forwarding gevolgt.)

Ik zei dat als je die forwarding hebt en je intern verbind met je extern ip je netjes door die forwarding gaat en dan NIET je source IP aangepast wordt. De firewall van in jouw geval de VPN server ziet dus niet je externe IP maar je interne IP. En afhankelijk van hoe je de firewall van jouw VPN server is ingesteld kan 'ie daar onderscheid in maken.

De forwarding is zeker nodig om intern met je externe IP te verbinding. Anders is het totaal onbekend naar welke host het moet.
Reputatie 1
Badge
Hey @PieterIlmer,

inderdaad zoals @RobinFlikkema aangeeft, op moment dat je van intern naar het 'externe ip' gaat herkend de experiabox dat dit vanaf het internet netwerk komt, hierdoor gaat het niet door het NAT systeem heen maar gaat gelijk door naar de Forwarding hierdoor is het source adres je lokale IP in je interne netwerk, als je van buitenaf gaat dus buren of ergens anders dan komt hij eerst door de NAT heen en die past de Source adres aan en nog wat meer settings en stuurt het daarna naar je domoticz bakje, was dat niet een linux systeem met het software pakket Domoticz? als dat het geval is kan het zijn dat je domotics kastje ook een firewall heeft draaien, die zal en hoop ook dat ze het zo doen in verband met de hackers van tegenwoordig dat hij dus intern verkeer door laat en alles van buiten je interne netwerk zit blokkeerd, kun je op je domoticz inloggen via SSH en dan het commando 'iptables -L -n' uitvoeren dit geeft terug wat hij blokkeerd en wat hij doorlaat
In de eerste plaats top dat er zo snel reacties volgen.

Ik zal een poging doen nog iets beter uit te leggen wat mijn situatie is.
Domoticz draait als service op mijn Synology NAS. Op de NAS heb ik de firewall uitgeschakeld. De webinterface van Domoticz is benaderbaar op http://192.168.2.1:8084 (geen https idd. Dat komt wel als het eerst zo werkt 😉

De enige fw die er tussen zit is dus de fw functie van de Experia (V9) box. Op de Experia box heb ik dus port forwarding ingesteld op 8084 richting 192.168.2.1. Dat is vrij simpel in te stellen.

Wanneer je die forwarding enabled kun vanaf het interne netwerk naar http://extern ip adres:8084.
Maar zodra je "echt" van buitenaf probeert te verbinden en dat kan al heel simpel vanaf je telefoon als je wifi uitschakelt, dan krijg je geen verbinding. Maar ook met de hotspot optie van de telefoon heb ik het geprobeerd via een laptop en dat geeft hetzelfde resultaat. Ook als je het hele verhaal op een ander poortje laat draaien, gaat het niet werken.

Ik heb ook een ander testje gedaan om te kijken of het forwarding mechanisme werkt door op een laptop waar Windows op draait RDP te enablen, de Windows fw uit te schakelen en port forwarding op de Experia box in te stellen naar het ip adres van de laptop op 3389 (wat de rdp poort is). Dit geeft dezelfde verschijnselen. (overigens niet verstandig dit open te laten staan. Maar dat is een ander verhaal)
Ook met telnet krijg je geen reactie op de poort. Met Portquery kun je dit overigens nog mooier testen. Portquery geeft "TCP port 8084 (unknown service): FILTERED" als resultaat.

Volgens mij wordt het echt bij KPN ergens geblokkeerd. Helaas kun je als gewone klant van KPN niet precies bepalen waar geblokkeerd wordt. Begrijpelijk natuurlijk.

Wel jammer dat de KPN support desk niet verder wil kijken dan de standaard internetten, bellen en televisie probleempjes. Of je moet een zakelijke klant zijn. Maar ja, ik ben slechts een hobbyist die iets meer wil doen dan de standaard dingetjes.
Reputatie 7
Badge +29
Ik weet niet in hoeverre je een hobbyist bent, maar wireshark/tcpdump om te kijken of het verkeer door de Experiabox heen komt en onderweg is naar de synology? Dan weten we in iedergeval iets meer.
(Makkelijkste is Wireshark op de PC die je al geforwarded had)

Verder, Filtered betekend gewoon dat ie gedropt wordt (waar dan ook) en je dus een time-out krijgt. En dat komt weer overeen met de telnet reactie.

Hoe ziet de netwerk lay-out er verder uit?

Eigenlijk, een groot deel van de support desk is echt niet slim genoeg om je hiermee te helpen en eigenlijk ben ik van mening dat je beter dit soort dingen op het forum kan bespreken zodat de volgenden er ook iets aan hebben.
Reputatie 3
RobinFlikkema schreef:

Eigenlijk, een groot deel van de support desk is echt niet slim genoeg om je hiermee te helpen



Ze kunnen iig laten weten of er en welke porten er vanuit KPN geblocked worden.
Reputatie 7
Badge +29
Daarop is het antwoord tegenwoordig heel simpel: geen een. Alleen staan sommige type Experiaboxen 1 poort niet toe om te forwarden.

Maar de helft van de helpdesk zal een oud topic van tweakers er bij pakken met oude informatie.
Ik dacht het probleem simpeler weer te geven op dit forum door niet alle gegevens over mijn netwerk-layout mee te geven.
Omdat ik het nu opgelost heb, zal ik dat alsnog doen. Wie weet heeft iemand er iets aan.

Achter mijn Experia box heb ik een Netgear R7000 met DD-WRT firmware draaien, omdat die meer mogelijkheden biedt en veel betere Wifi prestaties levert.
Om de Netgear toch uit te sluiten als oorzaak heb ik de Synology toch eens even direct op de Experia aangesloten en het ip adres 192.168.2.1 gegeven. En toen werkte het!

Ik was in de veronderstelling dat ik alles juist ingesteld had door Port Forwarding op de Experia in te stellen en dan vervolgens hetzelfde te doen op de Netgear. Denkfout! Stomvan mij 🙂

De instelling op de Experia was juist. De instelling op de Netgear was fout. In plaats van "Port Forwarding" moet je binnen DD-WRT "Port Range Forwarding" instellen. Dit omdat er natuurlijk helemaal niet een tweede keer ge-NAT hoeft te worden. Je zet zo alleen een poortje open in de fw van de Netgear. Meer is ook niet nodig.

Dus vervolgens de Synology weer terug achter de Netgear. En toen werkte het!

Om alles via de Netgear te kunnen regelen heb ik nu de Netgear als DMZ ingesteld op de Experia box. Alles wordt dus doorgestuurd naar de Netgear. En in de firewall van de Netgear regel je dus wat door mag en wat niet door mag.

Als bijlage en ter verduidelijking plaatjes van de beide routerinstellingen toegevoegd.
Reputatie 1
Waarom twee routers achter elkaar? Vanwege TV via de Experiabox? Ik neem aan dat je weet dat je het geheel ook kan vervangen door 1 router?
Reputatie 7
Badge +29
Kijk! Dat was precies wat ik al dacht. Extra routers. De oplossing met DMZ is inderdaad dan de beste.

Reageer